医院信息化安全策略.pdfVIP

医院信息化安全策略 ① ① 谢玲珠 黄东瑾 ①汕头市中心医院 关键词 医院信息化建设 安全保障 策略 摘 要 医院的信息网络系统中运载着大量重要的数据和信息，基于医院信息系 [ 统安全的重要性。从培养工作人员的信息安全意识 、信息安全管理制度的建立、 监督制度的完善、软硬件的维护和安全管理、信息系统应急预案的设立和机房的 环境条件等方面进行分析，提出医院信息系统的安全保障的目标、措施、策略和 实施办法。 随着医院的不断发展和国家医疗卫生管理要求的不断提高，对计算机信息网 络系统的依赖性也表现得越来越强。但是计算机信息网络系统所表现出来的先进 性，以及所带来的劳动效率提高和生产成本降低，并不能掩饰其存在的种种安全 隐患。特别是医院的信息网络系统中运载着大量重要的数据和信息，无论是硬件、 软件、环境、人为方面的影响都可能导致这些数据遭受破坏，给医院带来无法挽 回的损失。因此保护信息系统的数据安全，构建信息系统安全平台成为了医院信 息化建设的当务之急。构建信息系统安全平台我们认为应考虑以下几方面。 [1] 1 树立安全意识 1.1 医院各级领导的重视 网络安全管理策略的制定和落实需要一定的人力、物 力和财力，需要自上而下的贯彻落实，因此医院各级领导要充分重视。培养医院 全员的安全意识，首先要使医院各级领导具备网络安全意识，使他们认识到在某 种意义上保护网络安全就是在保护医院。 1.2 操作人员的安全防范意识 网络安全问题是一个典型的人机关系问题，对于 网络安全来说，最重要的起点是从涉及计算机的人员开始的。对医院所有操作局 域网内计算机的医务人员，要定期进行计算机安全法律教育、职业道德教育和计 算机安全技术教育，使他们认识到一个人或一台机器的不安全隐患有可能使整个 网络无法正常工作。 2 安全管理制度的建立、监督制度的完善 2.1 建立和完善医院信息安全管理组织与制度 2.1.1 设立专职的安全管理人员 建立医院信息安全管理组织，设立专职的安全 管理人员，对那些给医院信息安全带来严重隐患的行为和人员进行重点管理和监 1340 督。 2.1.2 健全有关规章制度 健全有关规章制度，要根据具体的实际情况，对不同 类型、不同敏感度的信息规定合适的管理制度和使用方法，禁止不良信息传播。 2.2 应用安全管理 为了保证安全，应根据安全需求规定医务人员的工作站的使 用管理制度。谨慎使用共享软件，同时，医务人员的工作站上尽量不装或少装应 用软件。区分各个用户以及不同级别的用户组，采用不易破解的动态密码和选用 安全的口令，对用户实行身份和操作的合法性检查。 3 软、硬件的维护和安全管理 3.1 硬件设备的维护和安全管理 3.1.1 物理隔离 病毒和黑客侵入都需要对外的接口，物理隔离是断绝来源的最 有效措施。外部网络与内部局域网络分开，或用物理隔离卡进行隔离，是防止外 部病毒侵入的最有效方法。此外封闭内部网络系统中所有对外的接口，防止黑客、 外部攻击，避免病毒的侵入。另一方面，通过物理隔离来实现网络安全，即必须 同时配备内外网两套网络设备，增加了医院的硬件投资。 3.1.2 硬件防火墙 防火墙既是一个简单的过滤器，又是一个精心配置的网关。 它除了对网络进行管理，设定访问与被访问规则，切断被禁止的访问外，还能通 过制定的控制策略对出入网络的信息流进行过滤和监测，记录通过防火墙的信息 内容和活动，对来自网络的攻击行为进行检测和报警，从而达到排除恶意和未经 授权的侵入，保护内部网络敏感数据的安全。 3.1.3 保障服务器群及存储系统的安全 服务器是整个医院计算机网络系统的大 脑和神经中枢，保证服务器长期可靠地运行是网络信息系统安全的一个重要前 提，一般通过采用设备冗余和群集技术来保证服务器组的安全。 3.1.4 数据备份[2] 通过数据备份，能使医院在破坏数据的灾难事件中造成的损失 降到最低。而备份的方法也很多，有手工备份、自动